最后更新于2024年6月7日星期五18:06:43 GMT
Executive Summary
Rapid7观察到一个正在进行的活动,通过在常用的搜索引擎上的恶意广告分发木马安装程序的WinSCP和PuTTY, 点击广告会导致域名出现拼写错误. 在至少一个观察到的案例中,感染导致了勒索软件的尝试部署. The analysis conducted by Rapid7 features updates to past research, 包括各种新的妥协指标, YARA规则,帮助识别恶意dll, 还有一些观察到的恶意软件功能的变化. Rapid7观察到这场运动对IT团队成员的影响不成比例, 谁最有可能下载木马文件,同时寻找合法版本. 然后,恶意软件的成功执行为威胁参与者提供了更高的立足点,并通过模糊后续管理操作的意图来阻碍分析.
Overview
从2024年3月初开始, Rapid7观察到开源实用程序WinSCP和PuTTy的安装程序被木马化. WinSCP is a file transfer client, PuTTY a secure shell (SSH) client. 感染链通常在用户搜索诸如 download winscp or download putty,在微软(Microsoft)的必应(Bing)等搜索引擎上. The search results include an ad for the software the user clicks on, 最终将他们重定向到合法网站的克隆, 以WinSCP为例, 或者在使用PuTTY的情况下提供一个简单的下载页面. In both cases, 网页上还嵌入了从二级域名下载包含该木马的zip文件的链接.
感染开始于用户下载并提取zip存档的内容并执行之后 setup.exe的重命名副本 pythonw.exe,合法的Python隐藏控制台窗口可执行文件.
Upon execution, setup.exe 加载恶意DLL python311.dll. As seen in Figure 2,合法python311 DLL的副本 setup.exe 是打算加载的,实际上已重命名为 python311x.dll. 这种技术被称为 DLL side-loading, 在哪里可以将恶意DLL加载到合法的, signed, 通过模仿部分功能和原始库的名称来执行. 也简化了侧面加载DLL的过程 劫持DLL搜索顺序, 尝试首先加载包含在同一目录中的dll, 在检查系统中可能存在合法副本的其他目录之前. Rapid7也观察到了Python 3.11个图书馆成为之前恶意软件攻击的目标, 例如Rapid7在2023年8月发现的新型IDAT装载器.
中包含的主要有效载荷 python311.dll 压缩档案是否加密并包含在DLL的资源部分. 在执行过程中,该存档被解压缩以执行两个子进程.
首先,恶意软件执行合法的WinSCP安装程序的解压缩副本,见 Figure 3 as WinSCP-6.1.1-Setup.exe. 然后是恶意Python脚本 systemd.py is executed via pythonw.exe 解压缩到暂存目录后 甲骨文% LOCALAPPDATA % \ \ 以及大量的Python依赖项. 在成功执行这两个流程之后, setup.exe then terminates.
The script systemd.py, executed via pythonw.exe, 解密并执行第二个Python脚本,然后执行解密和反射DLL注入 Sliver beacon. 反射DLL注入是直接从内存而不是磁盘将库加载到进程中的过程. In several cases, Rapid7观察到威胁行为者在成功联系到silver信标后迅速采取了行动, 下载额外的有效载荷, 包括Cobalt Strike信标. 然后,在通过SMB进行枢纽后,使用该访问通过计划任务和新创建的服务建立持久性. 在最近的一次事件中, Rapid7观察到威胁行为者试图使用备份实用程序Restic泄露数据, 然后部署勒索软件, 在执行过程中最终被阻止的尝试.
相关技术, tactics, Rapid7观察到的和程序(TTP)让人想起过去的黑猫/ALPHV活动 正如趋势科技去年所报道的那样. 这个运动,被称为氮气 by Malwarebytes, and eSentire,此前曾有报道使用 similar methods.
技术分析
要更深入地了解恶意软件的交付和功能, 我们分析了最近观察到的一个恶意软件样本,该样本被发送给寻找PuTTY安装程序的用户.
Initial Access
感染源是用户搜索后收到的恶意广告 download putty. 当用户点击广告时, 哪些通常会被推到搜索结果的顶部以提高可见度, 他们被重定向到一个拼写错误的域名 hxxps://puttty[.]org/osn.php. 登录页面包括PuTTY的下载按钮, 以及下载Bitvise SSH服务器/客户端的两个合法链接. 但是,当用户单击下载链接时,它调用嵌入的函数 loadlink(),将用户重定向到 hxxps://puttty[.]org/dwnl.php, 然后最终将用户重定向到提供下载的恶意zip存档的最新主机. 在撰写本文时, puttty[.]org and the relevant URLs were still active, serving the zip archive putty-0.80-installer.zip 从可能被攻破的WordPress域 areauni[.]com.
Rapid7观察碱基结构域, puttty[.]org 还提供了一个克隆版本的PuTTY帮助文章 BlueHost,其中提供的下载链接实际上是用于 该软件的官方分销商. 正如Malwarebytes所指出的,这个相对良性的页面很可能是有条件地作为一种减少怀疑的方式.
相比之下,拼写错误的WinSCP域名有条件地将访问重定向到Rick Astley的域名 永远不会放弃你. Classic.
Execution
在提取zip存档后 putty-0.80-installer.zip,用户将再次看到 setup.exe的重命名副本 pythonw.exe,通过启动可执行文件来引诱用户启动感染.
Once executed, setup.exe 会侧载恶意DLL吗 python311.dll. The DLL python311.dll 然后加载合法DLL的重命名副本, python3.dll中动态解析必要的函数后,从同一目录中找到 kernel32.dll by string match. 对导出函数的未来请求 setup.exe 然后可以转发到吗 python3.dll by python311.dll. 这种技术通常用于侧面加载恶意软件, 因此合法请求被代理, 这样可以避免意外行为并提高有效负载交付的稳定性.
在成功的侧载程序之后, 然后,恶意软件通过动态解析来自的附加功能来执行预解包设置 ntdll.dll. The malware still uses functionality similar to the publicly available AntiHook and KrakenMask 库,以方便设置和执行, 正如eSentire先前指出的那样, 哪个提供了额外的逃避能力. AntiHook包含枚举进程加载模块的功能, 搜索每一个钩子, 并重新映射一个干净, 模块文本部分的解钩版本, 如果找到钩子. KrakenMask包含欺骗函数调用返回地址的功能, 规避堆栈跟踪, 以及加密进程虚拟内存以避开内存扫描器的功能.
The library ntdll.dll 包含组成Windows本机API (NTAPI)的函数, 在用户模式下执行的进程通常最接近于利用操作系统内核的功能是什么. 通过解析NTAPI函数来使用, 恶意软件可以绕过应用于更常用的用户模式功能(WINAPI)的检测,并访问否则不可用的较低级别功能. 恶意软件解析的几个NTAPI函数指针可用于逃避技术,如Windows事件跟踪(ETW)篡改和绕过反恶意软件扫描接口(AMSI),如在先前的氮气活动样本中观察到的那样. 其中一些函数是动态解析的 ntdll.dll 是否发现在尝试解析之前使用堆栈字符串的连接来形成目标API的全名, 可能有助于逃避侦查.
| Resolved ntdll.dll functions |
|---|
| EtwEventWrite |
| EtwEventWriteFull |
| EtwNotificationRegister |
| EtwEventRegister |
Table 1. 恶意软件从ntdll动态解析的函数.dll.
| 其他观察到的函数字符串 |
|---|
| WldpQueryDynamicCodeTrust (wldp.dll) |
| AmsiScanBuffer (amsi.dll) |
Table 2. Other evasion related WINAPI function strings observed in the malware
的资源部分中存储了加密的资源 python311.dll 使用以下命令检索 公共资源WINAPI调用, including FindResourceA, LoadResource, SizeOfResource, and FreeResource.
然后使用AES-256十六进制密钥和初始化向量(IV)在内存中对资源进行解密,这些密钥以纯文本形式存储在数据部分中. 生成的文件是一个zip归档文件,其中包含三个压缩文件, 包括PuTTY的合法MSI安装包和另一个名为 installer_data.zip.
执行PuTTY安装程序, 恶意软件首先在硬编码目录中创建MSI文件的副本 C:\Users\Public\Downloads\ via a call to fopen ,然后解压缩并写入检索到的MSI包内容 fwrite 等CRT库文件io函数,其次是 fclose. 完整的输出路径是通过将目标目录与所需文件名连接起来来组装的, 这是从 original_installer.txt. The contents of original_installer.txt 与资源中观察到的MSI包的名称相同,对于本示例: putty-64bit-0.78-installer.msi.
然后通过调用来执行MSI包 CreateProcessW 使用命令行 msiexec.\ users \ public \ downloads\ putty-64bit-0 . exe ALLUSERS=1 /i C:\Users\Public\Downloads\putty-64bit-0.78-installer.msi. So, 在执行下一个恶意软件负载之前,向用户提供他们最初寻找的软件. 此功能通常用于木马程序,以避免最终用户的怀疑, 由于用户在初始执行后只看到合法的安装窗口弹出. 但是,执行的MSI包之间的版本号, putty-64bit-0.78-installer.msi,以及最初下载的压缩文件, putty-64bit-0.80-installer.zip,不匹配——一个潜在的指标.
然后重复相同的过程来复制文件夹的解压缩内容 Oracle 包含在zip归档文件中 installer_data.zip 创建的暂存目录 甲骨文% LOCALAPPDATA % \ \. 解包过程完成后,恶意软件对 CreateProcessW 使用命令行执行下一个有效负载 % LOCALAPPDATA % \ \ pythonw甲骨文.exe % LOCALAPPDATA % \ \ systemd甲骨文.py. 完成其目的后,加载程序就会清除内存并将控制权交还给 setup.exe,它立即终止,留下 pythonw.exe 在后台运行的进程.
The Python script systemd.py 包含多个垃圾类, 这反过来又包含了大量的垃圾函数定义来填充核心脚本. 最后,脚本对文件进行解密 甲骨文% LOCALAPPDATA % \ \数据.aes,这是一个银信标DLL(原名称: BALANCED_NAPKIN.dll),执行silver DLL的本地注入,然后调用导出 StartW. main和脚本中其他包含的功能的内容似乎主要是从公开可用的内容中复制的 Github repo for PythonMemoryModule.
Rapid7 has replicated the unpacking process of the beacon DLL in a Python提取脚本现在是公开可用的 along with a yara规则检测恶意DLL.
Mitigations
Rapid7建议验证免费软件的下载来源. 检查下载文件的散列是否与官方分发器提供的散列相匹配,并且它们是否包含有效且相关的签名. 被恶意软件侧载的dll通常是未签名的, 并且经常出现在与合法签署和重新命名的原件相同的位置, 请求被转发到的对象. 书签的官方分发域下载未来的更新.
还可以主动阻止对已知域进行排列的DNS请求,或者将请求重定向到DNS天坑. 例如,通过使用公开可用的工具 DNSTwist 我们可以识别几个额外的可疑域,这些域与观察到的恶意软件以及已知的恶意软件主机/促进者联系的许多C2 IPv4地址的观察到的asn和国家代码相匹配.
| Domain | IPv4 | ASN |
|---|---|---|
| wnscp[.]net | 91.92.253[.]80 | AS394711:LIMENET |
| puttyy[.]org | 82.221.136[.]24 | AS50613:Advania Island ehf |
| puutty[.]org | 82.221.129[.]39 | AS50613:Advania Island ehf |
| putyy[.]org | 82.221.136[.]1 | AS50613:Advania Island ehf |
Table 3. 通过DNSTwist发现更多可疑域名.
Rapid7观察到受影响的用户不成比例地是信息技术(IT)团队的成员,他们更有可能下载PuTTY和WinSCP等实用工具的安装程序来进行更新或设置. 当IT成员的帐户被泄露时, 威胁参与者通过将他们的操作与管理员的操作混合在一起,获得了更高的特权,从而阻碍了分析。, 强调在下载前验证文件来源的重要性, 以及它们执行前的内容.
MITRE ATT&CK Techniques
| Tactic | Technique | Procedure |
|---|---|---|
| 资源开发 | T1583.008获取基础设施:恶意广告 | 该威胁行为者利用广告通过流行的搜索引擎传播恶意软件. |
| Initial Access | T1189:驾车妥协 | 用户点击一个恶意广告,该广告是由一个典型的搜索引擎查询软件实用程序填充的,并最终被重定向到一个托管恶意软件的页面. |
| Execution | T1106: Native API | The malware dynamically resolves and executes functions from ntdll.dll at runtime. |
| Execution | T1204.002:用户执行:恶意文件 | 用户下载并执行安装程序.Exe(更名为pythonw).. exe),它侧面加载并执行恶意DLL python311.dll. |
| Execution | T1059.006命令和脚本解释器:Python | 恶意软件执行一个python脚本来加载和执行一个silver信标. |
| Persistence | T1543.003:创建或修改系统进程:Windows Service | 威胁参与者创建一个服务来执行C2信标. 威胁参与者加载一个易受攻击的驱动程序,以方便禁用防病毒软件和其他防御. |
| Persistence | T1053.005:定时任务/Job:定时任务 | The threat actor creates a scheduled task to execute a C2 beacon. |
| Defense Evasion | T1140:解混淆/解码文件或信息 | 恶意软件使用各种字符串操作和混淆技术. |
| Defense Evasion | T1222.001:文件和目录权限修改:Windows文件和目录权限修改 | The malware calls chmod to change file permissions prior to execution. |
| Defense Evasion | T1574.001:劫持执行流程:DLL搜索顺序劫持 | python311中包含的恶意软件.DLL由pythonw的重命名副本加载.Exe从同一目录. |
| Defense Evasion | T1574.002劫持执行流程:DLL侧加载 | python311中包含的恶意软件.DLL由pythonw的重命名副本加载.exe and proxies requests to a renamed copy of the legitimate DLL. |
| Defense Evasion | T1027.002:混淆文件或信息:软件打包 | 恶意软件执行的最终有效载荷通过几层压缩解压缩, encryption, and file formats. |
| Defense Evasion | T1027.013:混淆文件或信息:加密/编码文件 | 该恶意软件还通过几层混淆来存储其他文件依赖关系 |
| Defense Evasion | T1055.001进程注入:动态链接库注入 | 该恶意软件通过python脚本加载Sliver信标DLL. |
| Lateral Movement | T1570横向工具转移 | The threat actor uses SMB via Cobalt Strike to pivot post compromise |
| Exfiltration | T1567.002:通过Web服务渗漏:渗漏到云存储 | The threat actor attempts to exfiltrate data to a backup using Restic. |
| Impact | T1486:影响加密数据 | 威胁行为者在窃取数据后尝试部署勒索软件. |
Rapid7 Detections
适用于Rapid7 MDR和insighttidr客户, 目前部署了以下检测规则,并针对本博客中描述的恶意软件活动发出警报:
| Detections |
|---|
| 可疑进程-银C2交互式Shell执行通过PowerShell |
| Suspicious Process - Python Start Processes in Staging Directories |
| 攻击者技术-更名为PythonW.从非标准文件夹执行 |
| Suspicious Service: Service Installed With Command Line using Python |
| 网络发现- Nltest枚举域控制器 |
| 攻击者技术-潜在的进程空心化到DLLHost |
| 可疑进程-更新.无参数执行 |
| 可疑进程访问-使用MiniDumpWriteDump功能转储LSASS内存 |
妥协指标
基于网络的指标
| 域/ IPv4地址 | Notes |
|---|---|
| wnscp[.]net | 拼写错误的域名,发现通过DNSTwist |
| puttyy[.]org | 拼写错误的域名,发现通过DNSTwist |
| puutty[.]org | 拼写错误的域名,发现通过DNSTwist |
| putyy[.]org | 拼写错误的域名,发现通过DNSTwist |
| vvinscp[.]net | Typo-squatted域 |
| winnscp[.]net | Typo-squatted域 |
| puttty[.]org | Typo-squatted域 |
| areauni[.]com | 恶意压缩存档主机,可能受到损害的域 |
| mkt[.]geostrategy-ec[.]com | 恶意压缩存档主机,可能受到损害的域 |
| fkm-system[.]com | 恶意压缩存档主机,可能受到损害的域 |
| 185.82.219[.]92 | C2 address |
| 91.92.242[.]183 | C2 address |
| 91.92.244[.]41 | C2 address |
| 91.92.249[.]106 | C2 address |
| 91.92.249[.]155 | C2 address |
| 91.92.252[.]238 | C2 address |
| 91.92.255[.]71 | C2 address |
| 91.92.255[.]77 | C2 address |
| 94.156.65[.]115 | C2 address |
| 94.156.65[.]98 | C2 address |
| 94.156.67[.]185 | C2 address |
| 94.156.67[.]188 | C2 address |
| 94.156.67[.]83 | C2 address |
| 94.158.244[.]32 | C2 address |
hbi (Host Based Indicators)
| File | SHA256 | Notes |
|---|---|---|
| DellAPC.exe | 8b1946e3e88cff3bee6b8a2ef761513fb82a1c81f97a27f959c08d08e4c75324 | 威胁行为者在被入侵后丢弃的 |
| DellCTSW2.exe | N/A | 威胁行为者在被入侵后丢弃的 |
| DellCTSWin.exe | 2ee435033d0e2027598fc6b35d8d6cbca32380eb4c059ba0806b9cfb1b4275cc | 威胁行为者在被入侵后丢弃的 |
| DellPPem.exe | 4b618892c9a397b2b831917264aaf0511ac1b7e4d5e56f177217902daab74a36 | 威胁行为者在被入侵后丢弃的 |
| DellPRT.exe | 725aa783a0cd17df603fbe6b11b5a41c9fbfd6fc9e4f2e468c328999e5716faa | 威胁行为者在被入侵后丢弃的 |
| KeePassDR.exe | c9042a7ed34847fee538c213300374c70c76436ee506273b35282c86a11d9e6a | 威胁行为者在被入侵后丢弃的 |
| NVDisplay.Contain64.exe | 35161a508dfaf8e04bb6de6bc793a3840a05f2c04bbbbf8c2237abebe8e670aa | 威胁行为者在被入侵后丢弃的 |
| NVDisplay.Container64.exe | 8bc39017b1ea59386f74d7c7822063b3b00315dd317f55ddc6634bde897c45c1 | 威胁行为者在被入侵后丢弃的 |
| NVDisplay.exe | bbdf350c6ae2438bf14fc6dc82bb54030abf9da0c948c485e297330e08850575 | 威胁行为者在被入侵后丢弃的 |
| OktaServiceAgent.exe | 28e5ee69447cea77eee2942c04009735a199771ba64f6bce4965d674515d7322 | 威胁行为者在被入侵后丢弃的 |
| OktaServiceAgent.exe | f36e9dec2e7c574c07f3c01bbbb2e8a6294e85863f4d6552cccb71d9b73688ad | 威胁行为者在被入侵后丢弃的 |
| PDMVault.exe | 242b2c948181f8c2543163c961775393220d128ecb38a82fa62b80893f209cab | 威胁行为者在被入侵后丢弃的 |
| PDMVault.exe | 9be715df88024582eeabdb0a621477e04e2cf5f57895fa6420334609138463b9 | 威胁行为者在被入侵后丢弃的 |
| PDMVaultConf.exe | 8b0d04f65a6a5a3c8fb111e72a1a176b7415903664bc37f0a9015b85d3fc0aa7 | 威胁行为者在被入侵后丢弃的 |
| PDMVaultL.exe | 169年ef0e828c3cd35128b0e8d8ca91fbf54120d9a2facf9eb8b57ea88542bc427 | 威胁行为者在被入侵后丢弃的 |
| PDMVaultLP.exe | N/A | 威胁行为者在被入侵后丢弃的 |
| PDMVaultSec.exe | 61214a7b14d6ffb4d27e53e507374aabcbea21b4dc574936b39bec951220e7ea | 威胁行为者在被入侵后丢弃的 |
| PDMVaultSecs.exe | 51 af3d778b5a408b725fcf11d762b0f141a9c1404a8097675668f64e10d44d64 | 威胁行为者在被入侵后丢弃的 |
| PDMVaultTest.exe | 96ea33a5f305015fdd84bea48a9e266c0516379ae33321a1db16bc6fabad5679 | 威胁行为者在被入侵后丢弃的 |
| ServerController.exe | 02330e168d4478a4cd2006dd3a856979f125fd30f5ed24ee70a41e03e4c0d2f8 | 威胁行为者在被入侵后丢弃的 |
| SgrmBroker.exe | 8834ec9b0778a08750156632b8e74b9b31134675a95332d1d38f982510c79acb | 威胁行为者在被入侵后丢弃的 |
| VMImportHost.exe | c8a982e2be4324800f69141b5be814701bcc4167b39b3e47ed8908623a13eb10 | 威胁行为者在被入侵后丢弃的 |
| VMImportHost2.exe | 47 ec3a1ece8b30e66afd6bb510835bb072bbccc8ea19a557c59ccdf46fe83032 | 威胁行为者在被入侵后丢弃的 |
| VMImportHost3.exe | 9bd3c7eff51c5746c21cef536971cc65d25e3646533631344728e8061a0624cb | 威胁行为者在被入侵后丢弃的 |
| VMSAdmin.exe | f89720497b810afc9666f212e8f03787d72598573b41bc943cd59ce1c620a861 | 威胁行为者在被入侵后丢弃的 |
| VMSAdminUtil.exe | ca05485a1ec408e2f429e2e377cc5af2bee37587a2eb91dc86e8e48211ffc49e | 威胁行为者在被入侵后丢弃的 |
| VMSAdminUtilityUp.exe | 972ca168f7a8cddd77157e7163b196d1267fe2b338b93dabacc4a681e3d46b57 | 威胁行为者在被入侵后丢弃的 |
| VMSBackupConfig.exe | 1576f71ac41c4fc93c8717338fbc2ba48374894345c33bdf831b16d0d06df23d | 威胁行为者在被入侵后丢弃的 |
| VMSBackupUpdate.exe | a5dfc9c326b1303cc1323c286ecd9751684fb1cd509527e2f959fb79e5a792c2 | 威胁行为者在被入侵后丢弃的 |
| dp_agent.exe | 13B2E749EB1E45CE999427A12BB78CBEBC87C415685315C77CDFB7F64CB9AAB0 | 威胁行为者在被入侵后丢弃的 |
| local.exe | bd4abc70de30e036a188fc9df7b499a19a0b49d5baefc99844dfdec6e70faf75 | 威胁行为者在被入侵后丢弃的 |
| lr_agent.exe | d95f6dec32b4ebed2c45ecc05215e76bf2f520f86ad6b5c5da1326083ba72e89 | 威胁行为者在被入侵后丢弃的 |
| ntfrss.exe | f36089675a652d7447f45c604e062c2a58771ec54778f6e06b2332d1f60b1999 | 威胁行为者在被入侵后丢弃的 |
| op_agent.exe | 17e0005fd046e524c1681304493f0c51695ba3f24362a61b58bd2968aa1bd01a | 威胁行为者在被入侵后丢弃的 |
| pp.txt | N/A | 值得注意的命名方案 |
| pr_agent.exe | d27f9c0d761e5e1de1a741569e743d6747734d3cdaf964a9e8ca01ce662fac90 | 威胁行为者在被入侵后丢弃的 |
| python311.dll | CD7D59105B0D0B947923DD9ED371B9CFC2C2AA98F29B2AFBDCD3392AD26BDE94 | 安装程序加载了恶意DLL.exe. 编译2024-03-05. 原名:python311_WinSCP.dll. |
| python311.dll | 02D8E4E5F74D38C8E1C9AD893E0CEC1CC19AA08A43ECC87AC043FA825382A583 | 安装程序加载了恶意DLL.exe. 编译2024-04-03. 原名:python311_WinSCP.dll. |
| python311.dll | 500574522DBCDE5E6C89803C3DCA7F857F73E0868FD7F8D2F437F3CC31CE9E8D | 安装程序加载了恶意DLL.exe. 编译2024-04-10. 原名:python311_Putty.dll. |
| -redacted-.exe | a1cb8761dd8e624d6872960e1443c85664e9fbf24d3e208c3584df49bbdb2d9c | 勒索软件,以受影响的域名命名. |
| readme.txt | N/A | Ransom note |
| resticORIG.exe | 33f6acd3dfeda1aadf0227271937c1e5479c2dba24b4dca5f3deccc83e6a2f04 | 威胁行为者丢弃的退出工具 |
| rr__agent.exe | d94ed93042d240e4eaac8b1b397abe60c6c50a5ff11e62180a85be8aa0b0cc4a | 威胁行为者在被入侵后丢弃的 |
| truesight.sys | bfc2ef3b404294fe2fa05a8b71c7f786b58519175b7202a69fe30f45e607ff1c | AV/EDR killer,用于执行勒索软件. |
| veeam.backups.shell.exe | 7d53122d6b7cff81e1c5fcdb3523ccef1dbd46c93020a0de65bc475760faff7d | 威胁行为者在被入侵后丢弃的 |
| vmtools.exe | ED501E49B9418FCFAF56A2EFF7ADCF85A648BDEE2C42BB09DB8C11F024667BFA | 威胁行为者在被入侵后丢弃的 |
| vmtoolsda.exe | 12AFBEC79948007E87FDF9E311736160797F245857A45C040966E8E029CA97B3 | 威胁行为者在被入侵后丢弃的 |
| vmtoolsdr.exe | 989A8E6A01AA20E298B1FFAE83B50CEF3E08F6B64A8F022288DC8D5729301674 | 威胁行为者在被入侵后丢弃的 |
| vmtoolsds.exe | 0AA248300A9F6C498F5305AE3CB871E9EC78AE62E6D51C05C4D6DD069622F442 | 威胁行为者在被入侵后丢弃的 |
| vmtoolsdt.exe | DF0213E4B784A7E7E3B4C799862DB6EA60E34D8E22EB5E72A980A8C2E9B36177 | 威胁行为者在被入侵后丢弃的 |
| DellPP.exe | 51D898DE0C300CAE7A57C806D652809D19BEB3E52422A7D8E4CB1539A1E2485D | 威胁行为者在被入侵后丢弃的 |
| DellPP2.exe | 8827B6FA639AFE037BB2C3F092CCB12D49B642CE5CEC496706651EBCB23D5B9E | 被威胁演员在妥协后丢弃 |
| data.aes | F18367D88F19C555F19E3A40B17DE66D4A6F761684A5EF4CDD3D9931A6655490 | 加密银条信标 |
| data.aes | C33975AA4AB4CDF015422608962BD04C893F27BD270CF3F30958981541CDFEAD | |
| 加密银条信标 | ||
| data.aes | 868CD4974E1F3AC7EF843DA8040536CB04F96A2C5779265A69DF58E87DC03029 | 加密银条信标 |
| systemd.py | 69583C4A9BF96E0EDAFCF1AC4362C51D6FF71BBA0F568625AE65A1E378F15C65 | 银色信标装载机 |
| systemd.py | 03D18441C04F12270AAB3E55F68284DCD84721D1E56B32F8D8B732A52A654D2D | 银色信标装载机 |
| systemd.py | CF82366E319B6736A7EE94CCA827790E9FDEDFACE98601F0499ABEE61F613D5D | 银色信标装载机 |
